не могу настроить VLAN
-
Ситуация такая:
имеем pfSense 2.0 RC1
Ввиду нехватки сетевых карт и места под их установки, хочу на одной сетевухе организовать доступ из 2х подсетей. Одна сеть уже имеет доступ к пфСенсу и к иНету через него (интерфейс LAN с статическим ІР и включеным DHCP на нем). Дальше иду в Interfaces -> Assign -> VLAN создаю там новый VLAN 100 интерфейс, затем в Interface assigments создаю интерфейс с портом VLAN100. Сохранил, зашел и назначил статический адрес новому интерфесу. Пробую пинговать этот адрес из 2й сети - никакого ответа.
Что делаю не так? (на всяки пожарныйй, уже сделал ребут, и прописал правило типа allow any -> any на этом интерфейсе)
есть оговорка там, что не все карты поддерживают. Перепробовал на 3х разных сетевых, результат один и тот же. -
Ситуация такая:
имеем pfSense 2.0 RC1
Ввиду нехватки сетевых карт и места под их установки, хочу на одной сетевухе организовать доступ из 2х подсетей. Одна сеть уже имеет доступ к пфСенсу и к иНету через него (интерфейс LAN с статическим ІР и включеным DHCP на нем). Дальше иду в Interfaces -> Assign -> VLAN создаю там новый VLAN 100 интерфейс, затем в Interface assigments создаю интерфейс с портом VLAN100. Сохранил, зашел и назначил статический адрес новому интерфесу. Пробую пинговать этот адрес из 2й сети - никакого ответа.
Что делаю не так? (на всяки пожарныйй, уже сделал ребут, и прописал правило типа allow any -> any на этом интерфейсе)
есть оговорка там, что не все карты поддерживают. Перепробовал на 3х разных сетевых, результат один и тот же.Виртуальный интерфейс должен быть сбриджован с реальным, в нате должна быть разрешена новая подсеть. Должен был появиться новый интерфес - OPT1, соотетственно в файере появится вкладка, где и нужно разрешать/запрещать нужные порты - allow any OPT1 subnet any
-
Ситуация такая:
имеем pfSense 2.0 RC1
Ввиду нехватки сетевых карт и места под их установки, хочу на одной сетевухе организовать доступ из 2х подсетей. Одна сеть уже имеет доступ к пфСенсу и к иНету через него (интерфейс LAN с статическим ІР и включеным DHCP на нем). Дальше иду в Interfaces -> Assign -> VLAN создаю там новый VLAN 100 интерфейс, затем в Interface assigments создаю интерфейс с портом VLAN100. Сохранил, зашел и назначил статический адрес новому интерфесу. Пробую пинговать этот адрес из 2й сети - никакого ответа.
Что делаю не так? (на всяки пожарныйй, уже сделал ребут, и прописал правило типа allow any -> any на этом интерфейсе)
есть оговорка там, что не все карты поддерживают. Перепробовал на 3х разных сетевых, результат один и тот же.Виртуальный интерфейс должен быть сбриджован с реальным, в нате должна быть разрешена новая подсеть. Должен был появиться новый интерфес - OPT1, соотетственно в файере появится вкладка, где и нужно разрешать/запрещать нужные порты - allow any OPT1 subnet any
И хорошо посмотреть информацию на коммутаторе
-
Не понял, что значит "в нате должна быть разрешена новая подсеть". Если можно поподробней. В фаерволе правило создал, о чем указал в 1м свем посте: "прописал правило типа allow any -> any на этом интерфейсе".
-
Не понял, что значит "в нате должна быть разрешена новая подсеть". Если можно поподробней. В фаерволе правило создал, о чем указал в 1м свем посте: "прописал правило типа allow any -> any на этом интерфейсе".
PfSense по-умолчанию создаёт правило в нате только для Lan подсети.
Если добавляется дополнительная подсеть (локальная, OPT), которой нужен доступ в инет, в нате нужно ставить галку manual outband и добавлять правило, аналогичное автоматическому, только указать адрес этой самой дополнительной подсети. -
PfSense по-умолчанию создаёт правило в нате только для Lan подсети.
Если добавляется дополнительная подсеть (локальная, OPT), которой нужен доступ в инет, в нате нужно ставить галку manual outband и добавлять правило, аналогичное автоматическому, только указать адрес этой самой дополнительной подсети.Кажется разобрался, что Вы имеете ввиду. Речь идет о исходящем трафике и его "НАТировании"? Это нужно для выхода в интернет. А как это влияет на то, могу ли пинговать адрес 192.168.50.1 (адрес пфСенс на интерфесе OPT) из локальной сети 192.168.50.0/24?
Простите, но прежде чем тыкать кнопочки, хочу разобраться где и для чего нужно тыкать :). -
И хорошо посмотреть информацию на коммутаторе
Простите не понимаю о чем идет речь (я еще только учусь), если подскажете подробней попробую посмотреть.
-
PfSense по-умолчанию создаёт правило в нате только для Lan подсети.
Если добавляется дополнительная подсеть (локальная, OPT), которой нужен доступ в инет, в нате нужно ставить галку manual outband и добавлять правило, аналогичное автоматическому, только указать адрес этой самой дополнительной подсети.Кажется разобрался, что Вы имеете ввиду. Речь идет о исходящем трафике и его "НАТировании"? Это нужно для выхода в интернет. А как это влияет на то, могу ли пинговать адрес 192.168.50.1 (адрес пфСенс на интерфесе OPT) из локальной сети 192.168.50.0/24?
Простите, но прежде чем тыкать кнопочки, хочу разобраться где и для чего нужно тыкать :).Да, верно.
Пинговать… А Вы сам OPT включили? С реальным интерфейсом его сбриджевали? -
Я бы присоветовал почитать о том, что такое "vlan". Если свич(коммутатор) не знает, что pfSense "слушает" Vlan100, то они не подружатся.
-
Я бы присоветовал почитать о том, что такое "vlan". Если свич(коммутатор) не знает, что pfSense "слушает" Vlan100, то они не подружатся.
я бы добавил что очень важно понять что такое тегированные и нетегированные порты..
-
я бы добавил что очень важно понять что такое тегированные и нетегированные порты..
Да, я именно это и хотел сказать… совсем плох стал -(
-
Да, верно.
Пинговать… А Вы сам OPT включили? С реальным интерфейсом его сбриджевали?Да включил. Пробовал делать бридж, при этом в сети отвалился домен контроллер (сетевая над которой проводился эсперимент подключена к свитчу локалки , куда воткнут LAN интерфейс пфсенса ). После того сетевая была отключена от свитча и напрямую воткнута в ноут. Виртуальный адрес пингуется через "реальный" адрес, и не пингуется если ноуту даю адрес из подсети vlan100
-
Я бы присоветовал почитать о том, что такое "vlan". Если свич(коммутатор) не знает, что pfSense "слушает" Vlan100, то они не подружатся.
Свич? Если речь идет о железке, которая обслуживает связь между участникаи сети, то это пасивное устройство, которое не поддается никакой настройке и обучению (во всяком случае я так до сих пор думал :) ). И с подобными ситуациями, но на "Винде", никогда проблем не было. Если же это програмная часть пфСенса - иду учить матчасть.
Пытался искать в документации FreeBSD. Там наткнулся на использование alias в подобной ситуации. В пфСенсе с таким термином нигде не всречался. Пойду про Vlan-ы поищу чего нить ). -
Я бы присоветовал почитать о том, что такое "vlan". Если свич(коммутатор) не знает, что pfSense "слушает" Vlan100, то они не подружатся.
Свич? Если речь идет о железке, которая обслуживает связь между участникаи сети, то это пасивное устройство, которое не поддается никакой настройке и обучению (во всяком случае я так до сих пор думал :) ). И с подобными ситуациями, но на "Винде", никогда проблем не было. Если же это програмная часть пфСенса - иду учить матчасть.
Пытался искать в документации FreeBSD. Там наткнулся на использование alias в подобной ситуации. В пфСенсе с таким термином нигде не всречался. Пойду про Vlan-ы поищу чего нить ).Если стоит неуправляемый свитч - о вланах можно не заикаться. Неуправляемый свитч в принципе не умеет обрабатывать пакеты в плане тегирования.
Марку свитча в студию.Свич? Если речь идет о железке, которая обслуживает связь между участникаи сети, то это пасивное устройство, которое не поддается никакой настройке и обучению (во всяком случае я так до сих пор думал :) - значит настало время пересмотреть свои взгляды. К нормальному управляемому свитчу фирма-производитель выпускает по несколько pdf-руководств по cli-интерфейсу и т.д. и каждое по 500-1000 страниц, думаю примерно понятно насколько свитч не пассивное устройство;)
В общем разбирайтесь в сторону tagged, untagged, member и т.д. Удачного чтения манов!
-
И хорошо посмотреть информацию на коммутаторе
Простите не понимаю о чем идет речь (я еще только учусь), если подскажете подробней попробую посмотреть.
Надо зайти в коммутатор и посмотреть информацию про VLAN как он построен.
-
Я бы присоветовал почитать о том, что такое "vlan". Если свич(коммутатор) не знает, что pfSense "слушает" Vlan100, то они не подружатся.
Свич? Если речь идет о железке, которая обслуживает связь между участникаи сети, то это пасивное устройство, которое не поддается никакой настройке и обучению (во всяком случае я так до сих пор думал :) ). И с подобными ситуациями, но на "Винде", никогда проблем не было. Если же это програмная часть пфСенса - иду учить матчасть.
Пытался искать в документации FreeBSD. Там наткнулся на использование alias в подобной ситуации. В пфСенсе с таким термином нигде не всречался. Пойду про Vlan-ы поищу чего нить ).Если стоит неуправляемый свитч - о вланах можно не заикаться. Неуправляемый свитч в принципе не умеет обрабатывать пакеты в плане тегирования.
Марку свитча в студию.Почитай тут http://xgu.ru/wiki/VLAN
Свич? Если речь идет о железке, которая обслуживает связь между участникаи сети, то это пасивное устройство, которое не поддается никакой настройке и обучению (во всяком случае я так до сих пор думал :) - значит настало время пересмотреть свои взгляды. К нормальному управляемому свитчу фирма-производитель выпускает по несколько pdf-руководств по cli-интерфейсу и т.д. и каждое по 500-1000 страниц, думаю примерно понятно насколько свитч не пассивное устройство;)
В общем разбирайтесь в сторону tagged, untagged, member и т.д. Удачного чтения манов!
-
Почитай тут http://xgu.ru/wiki/VLAN
Именно эту статью вчера изучал. Очень интересно и доходчиво все там описано. НО, вернемся к моей ситуации. Ноут напрямую подключен к сетвой пфСнса. пакеты никуда не могут попасть кроме как на порт езернет пфСенса. Значит я недонастроил, либо неправильно настроил именно интерфейс пфСенса. Может я не с той стороны подхожу к вопросу и есть другой способ назначить на один физический интерфейс несколько адресов ? Использование свичей поддерживающих настройку Vlan-ов пока не планируется.
-
Почитай тут http://xgu.ru/wiki/VLAN
Именно эту статью вчера изучал. Очень интересно и доходчиво все там описано. НО, вернемся к моей ситуации. Ноут напрямую подключен к сетвой пфСнса. пакеты никуда не могут попасть кроме как на порт езернет пфСенса. Значит я недонастроил, либо неправильно настроил именно интерфейс пфСенса. Может я не с той стороны подхожу к вопросу и есть другой способ назначить на один физический интерфейс несколько адресов ? Использование свичей поддерживающих настройку Vlan-ов пока не планируется.
Кабель обжат правильно? сетевая->сетевая обжимаются кроссом.
-
Почитай тут http://xgu.ru/wiki/VLAN
Именно эту статью вчера изучал. Очень интересно и доходчиво все там описано. НО, вернемся к моей ситуации. Ноут напрямую подключен к сетвой пфСнса. пакеты никуда не могут попасть кроме как на порт езернет пфСенса. Значит я недонастроил, либо неправильно настроил именно интерфейс пфСенса. Может я не с той стороны подхожу к вопросу и есть другой способ назначить на один физический интерфейс несколько адресов ? Использование свичей поддерживающих настройку Vlan-ов пока не планируется.
значит ноут не тэгирует фрэймы. Ещё читай.
К вопросу ты вообще неправильно подходишь и пытаешь построить бардак - две ip подсети (3-й уровень) объединить на уровне 2-го уровня. Если действительно сегменты хочешь объединить, то присвой всем адреса из одной подсети и всё будет замечательно. Если дейстивительно нужны две подсети, то на pfSense должно быть соответственно два интерфейса, через vlan или физически - абосолютно фиолетово - главное, что два разных. Не нужно следовать принципу "нельзя, но если сильно хочется, то можно".